互联网安全

3.1 常见的Web攻击手段

3.1.1 XSS攻击

• XSS 的原理
  将用户的 输入项 中嵌入脚本。例如将输入name的输入框中输入 "/> 简单来说就是在内容中嵌入恶意的脚本代码。
• XSS 的防范
  发生的根本原因是因为用户输入的数据变成了代码。因此，我们需要对输入进行HTML转义处理。将 尖括号 单引号 引号 之类的特殊字符进行转义编码，如 <

3.1.2 CRSF攻击 : 跨站请求伪造 cross site request forgery

• 攻击原理
  恶意网站B伪造正常网站A的请求，并利用A站的cookie信息完成验证。如果用户之前访问过A站，有正常的cookie，并且没有通过 退出登录 来清理cookie，就容易受到攻击。
• 防御
  1.添加不保存在cookie中的信息，如token。 2.将cookie设置为 HttpOnly。3.通过Rrefer 识别

3.1.3 SQL注入攻击

3.1.5 DDos攻击：分布式拒绝服务攻击 Distribute Denial of Service

• Dos
  先从Dos说起。是利用合理的客户端请求来占用大量服务端资源，从而使其它合法用户无法得到服务器响应。
• 常见的DDos攻击手段
  1.SYN Flood
  伪造大量的IP地址给服务器发送SYN报文，但是因为IP是伪造的，服务器肯定得不到客户端的响应，造成服务器要维护大量的半连接。这样新的syn请求就会被拒绝。
  2.DNS Query Flood
  伪造大量不存在的域名，让DNS服务器解析域名超时。

3. CC攻击

• 又名 HTTP Flood
  通过大量的http代理，模拟用户请求，并特意绕过cdn及缓存，特意请求大量数据，造成多次db查询等，耗尽服务器资源。

3.2 常用的安全算法

3.2.1 数字摘要